Компанія Продукти Наші партнери Технічна підтримка База знань

ПОШУК

 

DefensePro Новини




У сучасних корпоративних мережах необхідно забезпечити високий рівень безпеки обміну даними, безперебійну роботу прикладних програм, управління трафіком і мережевими ресурсами. Інтеграція прикладних програм з Інтернет і значне зростання швидкості каналів передачі даних змушує застосовувати потужні інтелектуальні комутатори, які функціонують на рівні прикладних програм. В той же час останнім часом значно зросла кількість атак, спрямованих на відмову в обслуговуванні і надання послуг. Для повноцінного захисту мережі необхідно також вирішувати завдання “очищення” трафіку від шкідливих програм мережевих черів, контролювати трафік Peer To Peer і блокувати небажаний трафік (наприклад, несанкціоновані послуги IP телефонії).

Програмно-апаратний комплекс DefensePro компанії Radware призначений для запобігання мережевим атакам і вторгненням та блокування паразитного або небажаного трафіку на рівні прикладних програм.

Особливості комплексу

  • Висока пропускна здатність – від 100 Мбіт/сек. до 6 Гбіт/сек.
  • Один пристрій DefensePro дозволяє захистити до 9 мережевих сегментів (18 портів Gigabit Ethernet). Для кожного сегменту може бути встановлений свій профіль безпеки.
  • Сигнатурний аналіз усього трафіку для захисту від вторгнень, вірусів, троянських програм, атак типу DoS.

    Захист від атак DOS/DDOS і SYN-flood в режимі реального часу

  • У пристрої застосовані сучасні фільтри для захисту від атак, спрямованих на уразливість операційних систем і мережевих прикладних програм.
  • Висока продуктивність пристрою дає можливість успішно боротися з атаками Denial of Service/DDoS, SYN flood, тому легітимні прикладні програми і санкціонований трафік без перешкод можуть використовувати усі мережеві ресурси.

    Адаптивний захист з використанням модуля аналізу поведінки трафіку і прикладних програм (Behavioral Protection)

  • DefensePro використовує аналіз поведінки прикладних програм і трафіку для захисту від невідомих атак без втручання адміністратора. В комплексі застосований алгоритм, який дозволяє системі самостійно вчитися роспізнавати невідомі атаки. За цим алгоритмом комплекс сканує трафік, ідентифікує можливі атаки і створює режекторний фільтр з характеристикою, яка необхідна для блокування у трафіку шкідливого потоку.

    Оптимизація трафіку

  • Оптимизація трафіку дозволяє контролювати пропускну здатність телекомунікаційних каналів і гарантувати роботу прикладних програм навіть під час інтенсивних атак DoS/DDoS. В системі можна зарезервувати частину смуги пропускання для окремих прикладних програм, безперебійне функціонування яких є пріоритетним.

    Контроль трафіку прикладних програм P2P:

  • Контроль трафіку дозволяє обмежувати або зовсім блокувати передачу даних за протоколами, які використовують прикладні програми типу P2P і програми миттєвого обміну повідомленнями.

    Оновлення сигнатурних фільтрів SUS (Security Update Service)

  • Оновлення сигнатур фільтрів здійснюється Security Update Service (SUS) 24Х7 в автоматичному режимі без втручання адміністратора.

    Централізована консоль управління

  • Для управління комплексами DefensePro служить консоль Apsolute Insite, яка дозволяє генерувати звіти, створювати і встановлювати політику безпеки і здійснювати аналіз порушень.

    Демонстрація функціоанування
    DefensePro в різних режимах

    Технічні характеристики різних моделей комплексів DefensePro



    Питання, які часто задають стосовно IPS DefensePro


    1) Чому недостатньо мати лише міжмережевий екран для захисту від загроз з Інтернет?

    Головними завданнями міжмережевих екранів є:

  • обробка великої кількості правил доступу (розмежування доступу з корпоративної мережі в Інтернет та з Інтернету в корпоративну мережу);
  • фільтрація всього трафіку, в окремих випадках фільтрація з використанням складних алгоритмів (наприклад за технологією ”Stateful inspection”);
  • трансляція мережевих адрес;
  • автентифікація;
  • надання послуг VPN та інше.

    Ці задачі забирають значні ресурси, тому міжмережеві екрани навіть за наявності вбудованих функцій протидії атакам не можуть забезпечувати ефективний захист на такому рівні як це здійснюють пристрої IPS. Експлуатація мереж, обладнаних лише міжмережевими екранами показала, що останні не здатні забезпечити належний захист від атак DDoS.

    2) Які нові можливості з’являються після встановлення IPS DefensePro?

  • DefensePro обладнаний великою кількість портів (дані по кількості портів для різних моделей наведені у таблиці технічних характеристик), що дозволяє застосовувати його як швидкісний комутатор для побудови корпоративної мережі.
  • Порти пристрою можуть бути об’єднані у пари, які працюють незалежно одна від одної, що дозволяє контролювати трафік різних сегментів мережі.
  • Існує можливість об’єднувати порти таким чином, щоб трафік з декількох вхідних портів спрямовувався лише на один вихідний порт і навпаки.
  • DefensePro 3020 може застосовуватися у мережі, яка використовує VLAN теги, що спрощує інтегрування пристрою в існуюче мережеве середовище.

    3) Від яких нових видів атак може захистити DefensePro, якщо в системі захисту уже встановлений міжмережевий екран, наприклад, Firewall-1?

  • DefensePro використовує велику базу сигнатур (більше 1500), яка оновлюється щотижня.
  • Адміністратор має можливість створювати власні сигнатури і задавити в них цілу низку параметрів, що дозволяє отримати мінімум помилкових спрацювань системи.
  • Загальна кількість таких сигнатур може сягати 65000.
  • DefensePro обладнаний трьома модулями для виявлення і блокування DoS, DDos і SynFlood атак.
  • У цих модулях застосований спеціальний запатентований алгоритм, компанії Radware.

    4) Яким чином DefensePro ізолює атаку?

    Після виявлення атаки можуть застосовуватися такі методи її блокування:

  • розрив з’єднання в режимі drop, при якому кожен пакет з’єднання блокується пристроєм;
  • генерація TCP пакета з ознакою RESET на адресу джереала з’єднання, отрумувача пакета, або обом;
  • Suspend connection – режим, який дозволяє блокувати з’єднання протягом наперед заданого проміжку часу.
  • при блокуванні можуть задаватися наступні параметри: блокування за адресою джерела, блокування за адресою джерела і за адресою отримувача, блокування за адресою джерела та за адресою отримувача лише по окремому порту, блокування за адресою джерела і за номером порта отримувача, блокування за адресою і номером порта джерела та адресою і номером порта отримувача.

    Контроль з’єднань може здійснюватися у відпідності до списків дозволених і заборонених адрес (Black list и White list):

  • До Black list заносяться ip адреси, з’єднання з якими повинні блокуватися.
  • До White list заносяться ip адреси, з’єднання з якими здійнюється без перевірки


    28 січня 2008
    IDC IT Security Roadshow 2008

    10 квітня 2007
    Вакансії

    Design by HTD 2007

    Головна сторінка